高性能并行入侵检测算法与框架

TP393; 基于单引擎检测的网络入侵检测系统(network intrusion detection system,NIDS)靠辅助硬件和改进检测算法来提高处理性能,但已无法适应10 Gb/s以上流量的线速处理要求.利用多检测引擎进行并行处理是实现高性能入侵检测的重要技术手段,并行检测系统通过多检测引擎进行并行协同检测,具有高性能和可扩展的优点.归纳了进行流量划分时遇到的保持检测攻击所需证据和负载均衡这两方面的挑战及其解决策略.综合现有并行入侵检测框架的优点,提出了一个统一的支持多检测引擎并行检测的体系结构UPDA(uniformed parallel detection architect...

Full description

Saved in:
Bibliographic Details
Published in计算机科学与探索 no. 4; pp. 289 - 303
Main Authors 蔡志平, 刘书昊, 王晗, 曹介南, 徐明
Format Journal Article
LanguageChinese
Published 国防科学技术大学 计算机学院,长沙 410073 2013
Subjects
proof keeping
入侵检测
load balancing
负载均衡
证据保持
intrusion detection
parallel detection
并行检测
high performance
高性能
Online AccessGet full text

Cover

More Information
Summary:TP393; 基于单引擎检测的网络入侵检测系统(network intrusion detection system,NIDS)靠辅助硬件和改进检测算法来提高处理性能,但已无法适应10 Gb/s以上流量的线速处理要求.利用多检测引擎进行并行处理是实现高性能入侵检测的重要技术手段,并行检测系统通过多检测引擎进行并行协同检测,具有高性能和可扩展的优点.归纳了进行流量划分时遇到的保持检测攻击所需证据和负载均衡这两方面的挑战及其解决策略.综合现有并行入侵检测框架的优点,提出了一个统一的支持多检测引擎并行检测的体系结构UPDA(uniformed parallel detection architecture).利用NetMagic平台,基于UPDA框架,设计和实现了一个高性能并行入侵检测原型系统,并通过实验验证了系统的高性能和有效性.
ISSN:1673-9418
DOI:10.3778/j.issn.1673-9418.1212017